Per molti italiani stanno arrivando le vacanze, e staccare un po' la spina dà senza dubbio sollievo, ma per evitare brutte sorprese durante l'estate è sempre opportuno stare attenti a non abbassare la guardia mentre utilizziamo smartphone, tablet, e anche strumenti di svago come i droni. Allora, anche se in questo periodo vi trovate sotto l'ombrellone, ci sono alcune utili best practices suggerite dal Garante con il vademecum "E-state in privacy":
L’accountability, come ormai ampiamente condiviso, porta a definire, sulla base della valutazione dei rischi, le misure che servono alla mitigazione degli stessi, agendo sulle leve di gravità, probabilità e rilevabilità. Le misure sono definite dal Titolare del trattamento sulla base della valutazione dei rischi, che può essere condotta secondo approcci diversi. Il risultato della valutazione è l’IRP - indice di priorità del rischio/risk priority number, che deve essere confrontato con il livello di priorità stabilito sulla base del superamento di una determinata soglia di intervento.
Fino al 30 aprile 2022 i professionisti che attivano l’offerta del mese di Federprivacy ricevono in omaggio il libro "Modello Organizzativo Privacy" edito da Giuffrè e scritto da Monica Perego, Simona Persi, e Chiara Elena Ponti, e anche la mini guida “Privacy Primi Passi” edita da Federprivacy a cura di Davide Sottili e Nicola Bernardi.
Il tema delle “misure di mitigazione”, da applicare a seguito della valutazione dei rischi, presenta numerose sfaccettature, in questo articolo vengono illustrati alcuni aspetti secondari, ma non per questo non degni di approfondimento. Le misure di mitigazione sono necessarie per prevenire e per evitare che si ripetano gli eventi che incidono sulla perdita di riservatezza, integrità e disponibilità dei dati personali e, quindi, servono a ridurre gli impatti sugli interessati, a seguito di eventi avversi, in relazione ai loro diritti e alle loro libertà, così come chiede il GDPR.
In relazione all’approfondimento dell’analisi dei rischi sui dati, in questo articolo si desidera analizzare il concetto di “agente di minaccia - threat actor”. Partiamo da una fonte ufficiale: il rapporto ENISA Threat Landscape (ETL) è il rapporto, pubblicato annualmente dalla Agenzia dell'Unione europea per la cibersicurezza, relativo alla sicurezza informatica; la nona edizione, del mese di ottobre 2021, rendiconta il periodo aprile 2020 – luglio 2021. La finalità del rapporto è quella di evidenziare le principali minacce e le loro tendenze rispetto al periodo precedente, gli agenti di minaccia e le misure di mitigazione da porre in atto.
Il processo di selezione del personale comporta necessariamente un trattamento dei dati personali, e il colloquio di selezione è una delle attività che richiedono il rispetto del GDPR.
I Responsabili del trattamento devono essere oggetto non solo di una valutazione iniziale, come richiede l’articolo l’art. 28 par. 1) del GDPR ma anche di una valutazione delle loro performance e qualifiche nel corso del tempo; questo articolo tratta delle modalità attraverso le quali il Titolare del trattamento può effettuare quest’ultimo tipo di valutazione.
Quando si tratta il tema dei fornitori che devono essere inquadrati come “Responsabili del trattamento” si analizzano le problematiche relative alla documentazione contrattuale; più raramente si affrontano i criteri di prequalifica (valutazione inziale prima dell’avvio del rapporto contrattuale) e di qualifica nel tempo (valutazione dinamica). Il presente articolo tratta i criteri necessari per valutare un potenziale Responsabile, prima di affidargli uno o più trattamenti, ponendo l’accento sugli aspetti afferenti alla protezione dei dati personali.
Il fatto che senza cybersecurity non può esserci né privacy né conformità al GDPR è indubbio, così come lo è l’esigenza di creare gruppi di lavoro e di progetto comuni. Perché vi sia reciproca contaminazione, e uniformità nel metodo dato che le sorti di gestione degli adempimenti privacy e della sicurezza informatica (o più in generale: delle informazioni) sono strettamente legate.
Il considerando 88 del GDPR richiede almeno una procedura per la notifica della violazione dei dati personali. Tale richiesta, in una logica sistemica, deve considerare da un lato tutto il processo di gestione di un evento di Data Breach e non solo la gestione del singolo evento, e dall’altro non solo le situazioni di Data Breach ma anche quelle di potenziale evento che mina la sicurezza delle informazioni.
